www.dinheirovivo.ptdinheirovivo.pt - 8 dez 07:15

Surgiu uma nova profissão em Portugal e há falta de quem desempenhe

Surgiu uma nova profissão em Portugal e há falta de quem desempenhe

Nova lei da proteção de dados exige que se formem profissionais e, nalguns casos, se contrate um data protection officer (DPO)

O Regulamento Geral de Proteção de Dados foi dado a conhecer há mais de dois anos e aplica-se às empresas de todos os Estados membros da União Europeia (UE) e àquelas que tratem dados pessoais de cidadãos da UE. A partir de 25 de maio deste ano, as empresas são obrigadas a implementar este regime.

A nova legislação vem introduzir regras sobre privacidade a implementar pelas empresas de modo a dar às pessoas maior controlo sobre os seus dados pessoais.

É o caso dos direitos à informação e de acesso. A pedido do cidadão, as organizações foram obrigadas a ter capacidade de atualizar, transferir ou mesmo eliminar os dados pessoais, desde que não se sobreponha a outra lei, como a fiscal.

Antes da implementação da nova lei, um estudo da International Data Corporation (IDC) para a Microsoft Portugal veio mostrar que apenas 2,5% dos decisores diziam que a sua organização estava preparada para aplicar o novo regulamento, enquanto 43% diziam que estaria preparada depois de maio, ou não sabiam. No período de transição, as empresas procuraram organizar-se para evitar as coimas estipuladas pela Comissão Europeia em caso de incumprimento, e que podem ir até 20 milhões de euros ou 4% do volume de negócios do grupo em que estão inseridas.

Ao mesmo tempo prepararam a entrada em cena de profissionais de proteção de dados com competências acrescidas. A função não é nova. A novidade é a criação da figura do data protection officer (DPO) ou encarregado de proteção de dados, que não é obrigatória para todas as empresas.

A nomeação de um DPO é obrigatória no caso de autoridades ou organismos públicos, excetuando os tribunais; sempre que a atividade principal do responsável pelo tratamento de dados exija um controlo regular e sistemático dos titulares dos dados em grande escala; ou em operações em grande escala de categorias especiais de dados (origem racial, genéticos, biométricos ou relativos à saúde).

A função ganha agora redobrada importância, destaca Jorge Lopes, diretor da Rumos, empresa de formação que está atenta à mudança desde há dois anos, quando foi lançado o regulamento comunitário. Em novembro de 2017 criou um curso, que vai na quinta edição, para formar e certificar (apesar de não ser obrigatório) peritos em segurança de informação.

“O DPO é a pessoa nomeada pela administração da empresa que tem como responsabilidade supervisionar e aconselhar a respeito das obrigações legais e ajudar a implementar políticas, processos e procedimentos”, explica Jorge Lopes. Deve garantir a transparência dos dados pessoais. Ou seja, deve dar resposta aos “donos” desses dados sempre que queiram saber exatamente que informações suas existem numa determinada organização, para que fins são utilizados e durante quanto tempo serão armazenados.

As PME não são obrigadas a manter registos das suas atividades de tratamento de dados. Há, no entanto, duas exceções: no caso de fazerem do tratamento de dados pessoais uma atividade regular e quando os dados que tratam possam constituir uma ameaça à liberdade dos indivíduos, ou sejam sensíveis e relativos a registos criminais, lê-se no comunicado da Comissão. Mas estas empresas não têm de contratar alguém a tempo inteiro, podem nomear um consultor.

(Nota: Este artigo foi publicado pela primeira vez a 23 de março.)

17
1